基于业务规则的档案信息化建设的风险防控

曹莉苹

摘   要：在信息化大潮下，档案信息化标准化、规范化建设的要求也在逐渐提高，依托业务规则库的档案信息化平台，是以结构化的业务规则数据来表示和维护业务行为，近年来逐渐被广泛运用，但由于业务规则的可维护性，使档案业务规则信息化建设的稳定性和安全性面对诸多的挑战，因此基于业务规则的档案信息化建设的风险防控变得更加重要。

关键词：业务规则  档案信息化  风险防控

中图分类号：G271                                  文献标识码：A                        文章编号：1674-098X（2019）06（b）-0004-02

随着计算机技术、网络技术的持续创新与进步，档案信息化建设进程也在日趋加快。在信息化大潮下，档案信息化标准化、规范化建设的要求也在逐渐提高。但大部分档案信息化平台在开发和实施过程中，由于沿用传统归档管理模式，致使档案信息化建设效率不高，信息化管理平台维护成本高、运作效率低，无法满足信息时代人们对于档案信息管理智能分析的要求，严重制约了当代档案管理工作效能升级[1]。而基于信息资源规划，依托业务规则库的档案信息化平台，是以结构化的业务规则数据来表示和维护业务行为，为档案信息化建设提供了一种新的思路和途径，近年来逐渐被推广使用[2]。但是，随着海量档案信息资源呈指数增长，业务规则库中的规则也在不断变化[3]。在为访问者提供便利快捷服务的同时，档案业务规则信息化建设的稳定性和安全性也在不断接受新的挑战。档案业务规则信息化在构建、管理和日常维护过程中，必须注意安全隐患和风险[4]。

1  基于业务规则的档案信息化建设风险识别

风险防控的前提应该是对基于业务规则的档案信息化建设进行风险识别[5]。基于业务规则的档案信息化建设主要有以下风险因素。

1.1 规则库中的风险

随着档案信息资源数量的不断增加，与之进行匹配的规则库中的一系列规则也要随之变化，规则变化包括规则的更新、增加、删除和修改。但规则的更新、增加、删除和修改过程中的风险性还未被重視起来。第一，规则变化随意性的风险。规则的随意改变会影响档案收集、分类整理、鉴定、著录、保管、利用和编研等诸多环节工作的正常开展[3]。第二，规则库权限管理的风险。在基于业务规则的档案信息化平台中，为保证共享数据的安全，会采用不同的权限分配策略，不同的管理人员拥有不同的管理方式，同一个管理人员由于职能差异也会拥有不同的管理方式，这就存在不同程度的安全强度，就可能会造成信息安全管理的漏洞。入侵者极有可能对相对不安全的权限管理系统进行攻击，从而导致规则库中的规则被更改、档案信息化平台中的信息资源被泄露。第三，规则库访问控制的风险。访问控制是档案信息化建设安全管理的核心，决定了用户权限的赋予和撤销，不同的访问控制要维护自己的授权方式和用户信息，如果应用系统较多、用户数量巨大，权限的分布程度和远程使用性能都会受到挑战。

1.2 异地归档过程中的风险

由于网络技术的发展，档案业务规则信息化平台除了实现已处理完毕的文件信息的归档外，随着信息技术的不断进步，可通过设置校验机制，利用信息共享技术，对异地档案实现收集、分类整理、鉴定、著录、保管、利用等工作。如果未对这一系列过程实施跟踪和审核，那就难以保证归档过程的安全性、档案信息内容的原始真实性、完整性和保密性。

1.3 档案数据和系统的安全风险

在利用档案业务规则信息化平台进行归档工作之后，保存下来的档案信息数据的安全性就成为需长期重视的问题[3]。建立档案信息数据副本是一种有效的保护手段，但在大数据时代背景下，档案信息数据及副本产生的巨量的数字档案信息资源具有更高的数据风险和信息资源安全问题。在网络环境下，档案业务规则信息化平台极有可能遭受外来攻击和计算机病毒的威胁，网络安全风险和人为管理风险将长期存在[6]。

2  基于业务规则的档案信息化建设风险应对

根据风险的影响范围、重要程度来确定处理不同风险的先后顺序，并采取相应措施对风险加以防控[5]。

2.1 管理风险应对

为了防控基于业务规则的档案信息化建设风险，应在档案信息化过程中，建立信息安全管理体系。实现信息安全主要是要健全平台内部的信息安全管理制度，以防止产生由于误操作、信息安全知识不足引起的严重后果。在系统、全面、科学的安全风险评估前提下，建立一种系统化、文件化、程序化、科学化的管理体系，对档案信息化平台的安全属性、功能和效率进行安全保障[3]。

2.2 技术风险应对

以预防控制为主，对档案信息化全过程进行控制，对档案信息化平台进行动态控制，确保信息的保密性、完整性、可用性，确保规则库的相对稳定性。按照信息安全国家标准，提高用户自主保护、系统审计保护、安全标记保护、结构化保护和访问验证保护级别安全要求，制定档案信息和档案信息网络共享安全策略，并采用访问控制、用户请求安全过滤、资源共享平台安全设计等多种计算机信息技术，以保证档案数据和系统的安全[3，6]。

2.3 风险等级管理

风险识别后，对风险进行定性和定量评估，确定划分不同的风险等级，再进一步确定档案信息化风险防控的优先级别，对不同的风险要素提出不同的风险防控要求[5]。在风险等级临界点设置触发响应程序，如果在档案信息化过程中，一旦出现超出临界点的风险时，则及时对管理人员进行提醒，管理人员作出相应措施化解风险后，再消除提醒，可以促进管理员积极进行风险应对。

3  结语

信息化是一项高风险的系统工程，基于业务规则的档案信息化建设，由于引进了业务规则库，其风险性相应增加。为确保基于业务规则的档案信息化建设取得成效，需要进一步强化风险防控。

参考文献

[1] 王新才，李雯，丁时征.业务规则管理在档案信息资源管理系统中的应用[J].档案学通讯，2010（4）：79-84.

[2] 江善东.业务规则技术在档案管理中的应用研究[J].中国档案，2010（6）：34-35.

[3] 王新才.基于业务规则的档案信息资源管理[M]. 武汉：武汉大学出版社，2013.

[4] 丁石征.业务规则技术在档案管理系统中的应用[J].兰台世界，2010（10）：8-9.

[5] 陈国云.档案信息化建设的风险管理[J].档案管理，2008（1）：42-43.

[6] 党跃武.基于信息组织技术的档案资源开发[M].成都：四川大学出版社，2016.